保护CPS的第一步是识别这些系统可能存在的风险,然后确定如何通过深度防御方法解决这些风险的优先级。风险评估包括识别CPS中的资产[74],了解其安全风险,并实施对策以将风险降低到可接受的水平[13,75,76,77,78].渗透测试可能是了解系统风险级别的最常见方法,可用于设计漏洞管理和修补策略。供应链也是另一个风险因素,在风险管理与治理CyBOK知识领域[79]中进一步讨论。
CPS中的一个新领域是识别执行器或传感器,如果它们受到损害,它们为攻击者提供CPS的最大可控性[80,30,81,82,83],然后优先保护这些设备。
识别风险后,一般的纵深防御方法包括预防、检测和缓解机制。在本节中,我们将介绍用于防止、检测和缓解攻击的跨领域安全工作,下一节将介绍特定的CPS域,例如电网以及智能交通系统。本节分为三个部分:(1)防止攻击(第2.1节),(2)检测攻击(第2.2节)和(3)缓解攻击(第2.3节)。
2.3缓解攻击
减轻CPS故障的大多数工作都集中在安全性和可靠性(保护系统免受随机和/或独立故障的影响)上。攻击缓解是安全性和可靠性保护的扩展,适用于系统中的故障不是由自然随机创建的,而是由对手创建的。
攻击缓解与弹性控制系统的概念有关,弹性控制系统定义为保持状态感知和可接受的操作正常水平以响应干扰(包括意外和恶意威胁)的系统[131]。
缓解技术主要有两种类型:i)主动和ii)被动。主动缓解会在发生任何攻击之前考虑在CPS中部署的设计选择。另一方面,反应性响应仅在检测到攻击后才会生效,并且它们会在线重新配置系统,以最大程度地减少攻击的影响。我们首先描述主动方法。
保守控制:减轻攻击影响的最初想法之一是以足够的安全裕度操作系统,以便在发生攻击时,它会攻击者更难到达不安全的区域。这种类型的控制算法的一个直观想法是使用模型预测控制(MPC)来设计一种控制策略,该策略预测攻击将从下一个时间步长开始发生[37],因此计划一个最佳控制操作,在攻击发生时尝试保持系统安全。保守地运行CPS通常以次优操作和系统未受到攻击时的额外成本为代价。
弹性估计:弹性估计算法试图获得系统的这种状态,即使传感器的子集受到损害[132,133]。基本思想是使用CPS的知识以及所有传感器值的相关性。在传感器测量中具有足够的冗余,弹性估计算法可以拒绝尝试的攻击,并仍然获得准确的状态估计。这个想法类似于信息论中的纠错码,其中传输的比特的子集可能会被破坏,但纠错代码重建原始消息。然而,缺点是并非所有CPS都有各种相关传感器来检查其他传感器的一致性,因此这种方法取决于系统的属性。
传感器融合:弹性估计算法通常假设各种多模态传感器来实现其安全保证。这也是传感器融合背后的想法,不同类型的传感器可以帮助“确认”其他传感器的测量[134,135,136].汽车系统中传感器融合的一个基本示例是验证LiDAR读数和摄像头测量值是否报告一致的观测结果。
虚拟传感器:当我们使用物理定律异常检测系统时,我们实际上拥有了系统物理演变的模型。因此,减轻对CPS传感器的攻击的一种方法是使用系统的物理模型来提出预期的传感器值,然后可以将其提供给控制算法[30,137,117]。通过去除传感器值及其从系统模型获得的期望值,我们正在使用开环控制有效地控制系统,这可能在短期内有效,但作为长期解决方案可能存在风险,因为所有物理模型并不完美,真实世界和模型仿真之间的误差会随着时间的推移而增加。在将虚拟传感器设计为攻击-响应机制时,另一个重要的考虑因素是,每当系统由于误报[30]。
约束致动:保守操作的类似原则是物理约束CPS的执行器,以便如果攻击者成功获得对系统的访问权限,则其更改系统操作的速度受到限制。例如,这种方法可以保证车辆队列行驶系统的安全性,即使攻击者完全控制了其中一辆车[138]。
惯性复位:减轻攻击的另一个想法是尽可能频繁地重置和多样化系统,以便攻击者无法获得对系统的持续控制[139,140]。基本思想是,系统的完整软件重置将使系统再次以受信任状态启动,从而消除攻击者的存在。这要求系统具有受信任的计算基础,可以在尚未加载恶意软件的安全状态下启动系统。但是,关闭正在运行的系统是一种潜在的危险行为,目前尚不清楚该提案是否可行。
反应控制补偿:当传感器或控制器受到攻击时,会产生新的动作以维护系统的安全。受容错控制的文献的启发,一种想法是尝试估计攻击信号,然后生成补偿动作以消除它[141].这种方法的问题在于它不考虑战略对手;然而,博弈论方法可以解决这一限制。在博弈论模型中,攻击者破坏一组控制信号
一个∈R但防守方使用剩余的控制器ud∈R医学博士部署防御
攻击者和防御者之间的博弈可以是同时的(零和或最小极大博弈)[142,143,144]或顺序的(例如,斯塔克尔伯格博弈)[145,146,147]。博弈论的挑战之一是,为了建模和证明结果,公式需要简化,此外,模型需要添加一些在实践中可能不成立的额外假设。
安全控制操作:另一种反应性方法是更改甚至阻止潜在的恶意控制操作作用于系统。将高保证控制器(HAC)作为高性能控制器(HPC)的备份的想法早于CPS安全性的工作,并被提议作为安全性防止复杂且难以验证的HPC将系统驱动到不安全状态的机制[148]。一种更新的、以安全为导向的方法是使用参考监视器的概念来检查控制动作是否会导致任何不安全的行为,然后再允许它进入现场[39]。所提出的方法依赖于控制器的控制器(C2),该控制器调解控制器发送到物理系统的所有控制信号。特别是,C2尝试保留三个主要属性:
1)安全(该方法不得引入新的不安全行为,即,当操作被拒绝对工厂进行“自动化”控制时,不应导致工厂采取不安全行为);2)安全性(调解保证应在威胁模型允许的所有攻击下成立);3)性能(控制系统必须满足实时期限,同时施加最小的开销)。
本节中介绍的用于预防、检测和响应攻击的所有安全建议通常适用于CPS。但是,每个CPS应用程序都有独特的属性,这些属性可以改变这些解决方案的实施方式。此外,特定CPS域的一些独特属性可以带来新的解决方案(例如为植入式医疗设备提出的触摸访问原理[149])。在下一节中,我们将重点从一般和抽象的CPS描述更改为特定于领域的问题和解决方案。
